您当前的位置:首页 > TAG信息列表 > security
如何阻止一个用户的类别,并为其他用户启用该类别
我有一个网站,所有类别都对任何人开放,只有两个类别是受密码保护的:学生和教师。它们仅对特定类型的用户开放,如下所示:“学生”类别对类型为“学生”的用户和类型为“教师”的用户开放。教师类别对教师类型的用户开放,但不对学生类型的用户开放。我如何在Wordpress中实现这一点?
垃圾邮件发送者通过注册成为用户能获得什么?
我在Wordpress博客上收到的大多数新用户注册看起来都不可靠@someblog.com, @somearticle.com, 或@gmail.com 地址。他们作为新用户注册会获得什么好处?
CURL、WordPress和cacert.pem之间有什么关系?
我遇到了一个关于wp\\u remote\\u get()和底层cURL调用的问题。在某些WordPress安装中,我看到以下SSL错误:httprequest_failed: SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GETSERVER_CERTIFICATE:certificate verify failed从我的研究来看,似乎以下几点应该
在WordPress上上传.webm格式会导致安全指南被攻破并失败
我无法上载。WordPress上的webm视频格式。这是在添加:AddType video/webm之后。webm两者兼而有之:我的。htaccess文件(在WordPress安装的根文件夹中)apache服务器的mime类型处理程序(通过我们的站点cpanel)据我记忆所及,起初这条消息立即给了我错误,它甚至会开始上传它。现在它一路上传,然后在咀嚼时,我得到了错误。错误是“1.webm” has failed to upload due to an error File type does no
用户生成的内容和安全性
我要创建一个新网站。我想让网站成为用户可生成内容的网站。基本上这就是我网站的功能。用户在我的wordpress网站注册,从wp管理面板提交内容,如果帖子得到管理员批准,会得到一些分数,之后这些分数将转换为一些现金。所以我需要一些建议。我听说wordpress的安全性很低。如果我让用户从wp admin创建内容,他们会入侵我的网站吗?让他们使用wp管理区是好是坏?是否可以从前端制作这些用户内容提交表单?我对TDO迷你表单之类的插件不感兴趣。因为我需要积分制。需要一些提示。提前感谢PS:Can i use b
Securing Contact Form 7
我有一个客户,他的网站是我用Wordpress创建的。它有一个使用联系人表单7创建的联系人表单。该客户是一个较大组织的子公司,该组织的IT部门在其子域上运行扫描。要求我的客户保护联系人表单7不受恶意脚本的影响,或将其删除。当我询问他们测试的内容的示例时,我的客户告诉我,他们运行测试以查看脚本是否可以插入到输入中(即:<script>alert(\'hello\');</script>) 字段或作为url字符串(即:www.mydomain.com/contact?<scrip
用CHMOD 777修改你网站上的所有文件是不是一个坏主意?
我想我听说这可能会对你的网站造成安全威胁,是吗?让它更容易被黑客攻击?我应该如何撤消此操作,哪些文件应该chmod 到什么号码?
是否使用密码保护来加载不同的页面元素?
我有一个受密码保护的页面,我希望删除主题的某些部分,并添加其他部分。我可以这样做吗?是否可以在主题文件中进行检查,以查看用户是否输入了密码?
Change WP-Login or WP-Admin
我是否可以更改wp登录名或wp管理文件的名称,以便我可以转到其他文件名进行登录。我试图阻止黑客找到我的登录名,而wp登录名已成为一个非常明显的选项。
Block Bad Queries插件是否仍然适用?
Block Bad Queries插件最近尚未更新。WordPress是否仍然会受到这些类型的恶意攻击,或者它是否已经足够坚固,足以使插件过时?有其他选择吗?
Wp_INSERT_POSTS()有多安全?
看看法典wp_insert_post() 它声明此函数“…清理变量,进行一些检查,填写缺少的变量,如日期/时间等”(编辑:Iupdated the Codex entry 包括一个更健壮的示例,其中包括安全性以及后元和类别分配)我只是想知道我是否需要做进一步的清理以防止XSS黑客之类的攻击,或者是否通过该函数做了足够的工作。老实说,我已经检查了core中的函数,没有发现任何wp\\u kses()或其他对post\\u内容的清理,所以我有点担心。我所能看到的只是数据上的stripslashes\\u de
如何将用户名和密码存储到WordPress选项数据库中的API?
我目前正在开发一个插件,我很可能会在公共插件库中发布它,以便其他人可以使用它。插件将使用API,要使用此API,您需要传递用户名和密码。因此,我的插件需要将这些登录凭据存储在数据库中。我不想以纯文本形式存储这些内容,尽管API需要以纯文本形式存储它们。所以我的问题是如何存储这些敏感信息?散列已经过时,所以它必须是某种加密。在WordPress中,是否有一个可用于不同博客的唯一键?我应该使用哪些php函数来加密和解密?我正在寻找的功能,将更有可能在所有的WP安装工作。
移动wp-config.php:在站点启动后可以这样做吗?
为了增加安全性,建议移动wp配置。php上升一级。在网站已经启动之后,可以这样做吗?这样做有什么潜在问题吗?对于新文件夹的名称是否有限制/建议?
插件中的安全风险是什么样子的?
我的服务器这个周末被黑客攻击了。俄罗斯人!在我服务器上的50多个域名中,每一个都被黑客入侵了。htaccess文件,该文件将搜索结果和其他一些内容重定向到一个俄罗斯网站。我假设wordpress的众多安装中有一个插件存在安全缺陷。两个问题:一个插件中的安全漏洞是否可能允许某人访问同一服务器上的其他站点</安全漏洞会是什么样的,可能会让某人访问。htaccess文件是否有一个或两个以上的目录问题可能是其他人的,Dreamhost(我的主机)有更大的问题。但是,我正在探索这是我的错的选择。有什么想法?
更改表前缀-一旦完成,我可以继续前进了吗?
在《WordPress 3入门》一书中,作者建议更改默认WP表前缀可以提供一些轻微的安全优势(防止SQL注入脚本)。我找到了几篇文章解释了如何做到这一点。我也看到有人认为这没有多大帮助。我想我会根据这样的理论来尝试,如果这是合理可行的,甚至有点帮助,为什么不这样做呢?因此,对于一个新项目,我安装了Fantastico,这意味着我必须通过PHPmyAdmin进入实际的表,我做到了。我更改了11个标准表名,以及wp\\u options和wp\\u usermeta中的一些内容,最后是wp config中的表
Restricting access to content
我正在开发一个功能,只允许客户和医生访问检查结果。但我不太确定我的代码在确保仅授权用户查看方面的优势。我已经创建了“检查”帖子类型来处理信息,并添加了元盒以在每次检查中保存医生和患者信息(医生和患者也是用户的自定义角色,其功能类似于订阅者)。然后,我创建了此函数来检查试图查看内容的用户是否有权使用它:/* * Checks if user is logged in and has access to that specific exam */ function rm_usera
我的插件应该发布到哪里?
我正在创建一个简单的插件,将页面设置为列表页面的主页(显示在编辑、预览、垃圾操作等旁边),我只是想知道提交此信息的最合适/最安全的位置是什么?到目前为止,最简单的方法是使用$\\u GET参数发回插件文件本身,但这似乎很粗糙,不使用nonce或任何东西(我的插件确实有current_user_can() 在里面。代码非常简单:function add_post_actions($actions, $post) { if($post->ID == get_option(\'page_o
Wordpress Hacks/Defacing
我想弄清楚Wordpress网站是如何被破坏/黑客入侵的。我非常了解发展。我知道如何保护代码等。但我最近发现,大量Wordpress网站正在遭到破坏。我开发的两个网站和其他网站。它只是过时的Wordpress安装吗?即使Wordpress运行的是3.1版,网站仍然被破坏。所有用户输入均在前端和后端进行验证。尽可能使用WP NONCE。服务器相当安全(不是777)。????我对Wordpress失去了信心。如果是我的错,我很乐意承认并修复,但唯一的答案似乎是过时的Wordpress网站,我觉得这很难相信。
保护WordPress登录页面
如何做到这一点:每当访问者打开登录页面(wp login.php),他们都会被重定向到主页。只有管理员(me)才能查看要登录的页面。我这样做是为了保护我的wp网站。有没有更好的方法来保护WP登录页面?
当外部人员侵入我的网络日志并更改我的显示名称时,我该怎么办?
昨晚,我在自己的博客上写了一篇关于宗教的有点争议的博文,今天早上醒来后发现我的展示名已改为一位狂热的宗教领袖的名字。该名称实际上已添加到user\\u元数据库中;删除该值会将我的显示名恢复为用户名。怎么会发生这种情况?我能做些什么来防范它?